• +54 (011) 4323-9362

  • de Lun a Vie de 9 a 17 hs

  • ciberseguridad@ba-csirt.gob.ar

  • ############################
    |A|L|E|R|T|A|S| |B|A|-|C|S|I|R|T|
    ############################

    Vulnerabilidades en Trend Micro OfficeScan
    10/10/2017
    =============================================
    CVE-2017-14083, CVE-2017-14084, CVE-2017-14085, CVE-2017-14086, CVE-2017-14087, CVE-2017-14088 y CVE-2017-14089
    Fecha de lanzamiento: 08/10/2017
    Gravedad: Alta
    =============================================

    VULNERABILIDAD
    --------------------------------------------------------------------------------

    Vulnerabilidades en Trend Micro OfficeScan que podrían causar diferentes impactos, desde la revelación de información hasta la ejecución de código remoto y elevación de privilegios.

    INFORMACIÓN
    --------------------------------------------------------------------------------

    Trend Micro OfficeScan es un sistema de protección frente a amenazas para servidores de archivos, PC's, portátiles y escritorios virtualizados mediante la combinación de tecnologías de seguridad ‘in situ’ y en la nube. OfficeScan consta de un agente que reside en el equipo del usuario y de un servidor que gestiona todos los agentes.

    DESCRIPCIÓN
    --------------------------------------------------------------------------------

    Los problemas de seguridad son los siguientes:

    - La ruta al archivo ‘crypt.key’ utilizado en el proceso de cifrado se encuentra definida en ‘config.php’ y un atacante remoto no autenticado podría descargar dicho fichero a través de una petición simple:

    - Las peticiones CURL usadas por la función ‘send’ en ‘HttpTalk.php’ establecen los parámetros de verificación ‘CURLOPT_SSL_VERIFYPEER’ y ‘CURLOPT_SSL_VERIFYHOST’ a falso, lo que podría permitir la realización de ataques MITM.

    - Un atacante no autenticado podría revelar información sensible acerca de los dominios presentes en las redes, y las versiones y módulos de PHP a través de 'analyzeWF.php’.

    - Una falta de validación permite la ejecución remota de procesos como ‘fcgiOfcDDA.exe’ o ‘cgiRqUpd.exe’ por parte de un atacante no autenticado que podrían aprovecharse para causar una denegación de servicio por elevado consumo de recursos (espacio en disco ocupado por los volcados o dumps generados) por múltiples ejecuciones o corrupción del INI.

    - Existe un problema de inyección en las cabeceras de host al basarse en $_SERVER['HTTP_HOST'] (que puede ser falsificado por el cliente) en lugar de $_SERVER['SERVER_NAME'], por ejemplo en ‘db_controller.php’. Esto podría permitir generar enlaces arbitrarios que apunten a sitios web maliciosos al cachearse peticiones con cabeceras envenenadas.

    - Un error de falta de validación al manejar ‘IOCTL 0x220008’ en ‘tmwfp.sys’ podría podría ser aprovechado por un atacante para elevar sus privilegios.

    - Determinadas peticiones al ser procesadas en ‘cgiShowClientAdm.exe’ podrían causar problemas de corrupción de memoria.

    Adicionalmente existe una vulnerabilidad, sin identificador CVE asignado, debida a la posibilidad de realizar solicitudes HTTP arbitrarias en servidores internos o externos a través de ‘help_proxy.php’.

    SISTEMAS AFECTADOS
    --------------------------------------------------------------------------------

    Trend Micro OfficeScan11.0 y XG (12.0)

    SOLUCIÓN
    --------------------------------------------------------------------------------

    Trend Micro ha publicado las actualizaciones XG CP 1708 y 11.0 SP1 CP 6426 disponibles respectivamente desde los siguientes enlaces:
    http://files.trendmicro.com/products/officescan/XG/patch1/osce_xg_win_en_criticalpatch_1708.exe
    http://files.trendmicro.com/products/officescan/11.0_SP1/osce_11_sp1_patch1_win_en_criticalpatch_6426.exe

    FUENTE
    --------------------------------------------------------------------------------

    https://hispasec.com/es/